Vertex AI 支持用于访问 Vertex AI 端点和服务的企业网络选项,这些选项可帮助您:
- 从本地或多云端环境安全地访问 Vertex AI 资源。
- 保护您的 Vertex AI 制品免遭外泄。
- 为 Vertex AI 资源配置网络流量。
本页面适用于已经熟悉 Google Cloud 网络概念的企业网络架构师和管理员。
Vertex AI 的公开访问
可从互联网访问的 Vertex AI 服务在从本地和多云环境访问 Vertex AI 表的公共互联网列中具有复选标记。这些服务的 API 会解析为完全限定域名 REGION-aiplatform.googleapis.com,该域名会返回可公开路由的 IP 地址。
Vertex AI 的专用访问选项
Vertex AI 支持通过以下选项以专用方式访问 Vertex AI 端点和服务,而无需向 Google Cloud 资源分配外部 IP 地址:
- 通过 Private Service Connect (PSC) 部署的 Vertex AI 可实现对 Vertex AI 服务的安全、私密和明确的访问,无需进行复杂的配置(如 VPC 对等互连),从而避免对等互连的网络路由表交换和 IP 地址分配。这样可以更轻松地连接到服务。对于服务使用方和服务提供方而言,这都是一项关键解决方案,可简化网络管理并增强安全性。Private Service Connect 提供以下功能:
- PSC 端点:使用方可以在其 VPC 中创建引用服务连接的转发规则。这会在其网络中创建一个专用 IP 地址,从而允许内部资源(如虚拟机)和混合网络中的跨云客户端访问 Vertex AI。
- PSC 后端:消费者可以使用 PSC 网络端点组 (NEG) 作为内部或外部区域级负载均衡器的后端。这会解锁负载均衡器功能,例如:
- 入站流量的日志记录和监控
- 流量管理
- Google Cloud Armor 集成
- 通过 VPC 对等互连实现传递性
- Google API 的 Private Service Connect 端点可让您的 Google Cloud 资源或本地系统连接到您的 VPC 网络中的端点,该端点将请求转发到 Google API 和服务。
- 专用 Google 访问通道:
- 允许您的 Google Cloud 资源通过 VPC 网络的默认互联网网关连接到 Google API 和服务的标准外部 IP 地址或专用 Google 访问通道网域和虚拟 IP (VIP) 地址。
- 允许您的本地主机使用某个特定于专用 Google 访问通道的网域和 VIP 通过 Cloud VPN 隧道或“VLAN 连接”连接到 Google API 和服务。
- 通过专用服务访问通道 (PSA) 部署的 Vertex AI 可在您的虚拟私有云 (VPC) 网络与服务提供方 (Vertex AI) 的 VPC 网络之间建立专用连接。专用服务访问通道的底层基础架构是使用方网络与提供方网络之间的 VPC 对等互连,可实现网络之间的路由交换。
以下是专用服务访问通道 (PSA) 的功能和限制:
- PSA 基于 VPC 网络对等互连构建。设置 PSA 时,Google Cloud 会在您的 VPC 网络与服务提供方的 VPC 网络之间建立对等互连连接。
- PSA 的一项关键要求是,您(服务使用方)必须为服务提供方分配一个专用内部 IP 地址范围。此范围是预留的,无法在您自己的 VPC 中使用,这有助于防止 IP 地址冲突。
- 连接建立后,服务提供方会在自己的 VPC 网络中使用您分配的地址范围中的 IP 地址来预配您请求的资源。这些资源会隔离到您的项目中。
- VPC 对等互连不具有传递性。
- 与专用服务访问相比,Private Service Connect 通过端点、后端或接口提供显著的增强功能,包括网络传递性和更低的 IP 地址消耗。因此,建议使用 Private Service Connect。
通过 PSC 接口部署的 Vertex AI 可实现从服务提供方 (Vertex AI) 的网络到使用方网络的流量流动。这对于需要与客户的 VPC、本地或多云网络中的资源进行交互的受管服务非常有用。
以下是 PSC 接口的功能和限制:
- 服务使用方会在其 VPC 网络中创建一个网络连接,该连接是一种资源,表示专用连接的使用方一端。
- 服务提供方创建具有 PSC 接口的受管资源,该接口引用使用方的网络连接。
- 使用方接受连接后,系统会从使用方 VPC 网络中的子网为 PSC 接口分配一个内部 IP 地址,从而实现安全、私密且双向的通信。
- 网络附件的子网支持 RFC 1918 和非 RFC 1918 地址,但子网
100.64.0.0/10和240.0.0.0/4除外。 - Vertex AI 只能连接到可从指定网络路由的 RFC 1918 IP 地址范围。
Vertex AI 无法访问以非公开方式使用的公共 IP 地址或以下非 RFC 1918 范围:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Vertex AI 访问方法
下表列出了用于从本地环境和多云环境连接到 Vertex AI 服务的访问方法,这些方法均受支持。在此表中,对勾标记表示支持访问方法。如需详细了解如何将访问方法与特定的 Vertex AI 服务搭配使用,请点击了解详情链接。
| Vertex AI 产品 | 公共互联网 | 适用于 Google API 的 Private Service Connect | 专用 Google 访问通道 | 专用服务访问通道 | Private Service Connect |
|---|---|---|---|---|---|
| 批量推理 | |||||
| 数据集 | |||||
| Vertex AI Feature Store(Bigtable 在线传送) | |||||
| Vertex AI Feature Store(优化在线传送) | 了解详情 |
||||
| Vertex AI 上的生成式 AI (Gemini) | |||||
| Model Registry | |||||
| 在线推理 | 了解详情 |
||||
| Vector Search(索引创建) | |||||
| Vector Search(索引查询) | 了解详情 |
||||
| 自定义训练(控制平面) | |||||
| 自定义训练(数据平面) | 了解详情 |
详细了解如何使用 PSC-I |
|||
| Vertex AI Pipelines | 详细了解如何使用 PSC-I |
||||
| 专用在线推理端点 | 了解详情 |
了解详情 |
|||
| Vertex AI Agent Engine | 详细了解如何使用 PSC-I |
保护 Vertex AI 资源
为降低 Vertex AI 资源发生数据渗漏的风险,您可以使用 VPC Service Controls 将这些资源放置在服务边界内。
- 如需了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
- 如需详细了解相关指南,请参阅将 VPC Service Controls 与 Vertex AI 搭配使用。
- 如需了解费用,请查看价格。
后续步骤
- 了解如何为 Vertex AI 设置 VPC 网络对等互连。
- 了解如何设置从 Vertex AI 到其他网络的连接。
- 如需了解配置 VPC 网络的一般指导信息和最佳做法,请参阅连接多个 VPC 网络。
详细了解如何使用 Google Cloud Network Connectivity 产品(例如 Cloud VPN、Cloud Interconnect 和 Cloud Router)将非Google Cloud (本地或多云)网络连接到 Google CloudVirtual Private Cloud (VPC) 主机网络。